As ferramentas de monitoramento de rede ss, lsof -ie netstat -ltupwsimilares têm limitações como namespace e, portanto, não mostram todas as conexões da máquina. (para namespace criado com ippodemos ver outras conexões com ip -all netns exec ss).
O estado do kernel, as conexões aqui /proc/net/tcp[udp][raw]e as conexões de namespace podem ser vistas aqui /proc/$pid/net/tcp[udp][raw](detalhe)
Quais são as outras conexões possíveis que não são vistas por ss/lsof/netstat e como monitorá-las?